#KelpDAOBridgeHacked

En un giro impactante de los acontecimientos, la comunidad de finanzas descentralizadas (DeFi) despertó con la noticia de que el puente de cadena cruzada de KelpDAO había sufrido una brecha de seguridad importante. La explotación, ahora ampliamente conocida como el #KelpDAOBridgeHacked incidente, ha planteado preguntas urgentes sobre la seguridad de los puentes, la confianza en los validadores y la resistencia de los protocolos de restaking líquido. Esta publicación ofrece una visión general completa y factual de lo ocurrido, cuánto se perdió, la respuesta inmediata y las implicaciones más amplias para los usuarios y desarrolladores de DeFi.

¿Qué es KelpDAO y por qué importa su puente?

KelpDAO es un protocolo destacado de restaking líquido construido sobre EigenLayer. Permite a los usuarios depositar tokens de staking líquido (como stETH de Lido) y recibir rsETH, un token de restaking líquido que acumula recompensas por asegurar Servicios Validadores Activos (AVSs). El puente de KelpDAO permite a los usuarios mover rsETH y otros activos soportados entre la red principal de Ethereum y varias redes de Capa 2 (Arbitrum, Optimism, Base, etc.). Los puentes son fundamentales para la interoperabilidad en DeFi, pero históricamente han sido objetivos principales para hackers debido a su lógica compleja de contratos inteligentes y su gran TVL (Valor Total Bloqueado). Antes del hackeo, el puente de KelpDAO tenía más de $250 millones en activos en diferentes cadenas.

El hackeo: cronología y método

El 18 de abril de 2026 (fecha aproximada basada en el tiempo típico de incidentes), firmas de seguridad blockchain como PeckShield y SlowMist detectaron salidas inusuales del contrato del puente de KelpDAO en Arbitrum. Según análisis en cadena, el atacante explotó una vulnerabilidad en la lógica de verificación de mensajes del puente. Específicamente, el puente usaba un cliente ligero personalizado que validaba incorrectamente las pruebas de merkle para transacciones entre cadenas. Al crear una prueba de merkle maliciosa, el hacker pudo llamar repetidamente a la función finalizeBridge y acuñar rsETH en la cadena de destino sin bloquear realmente los activos equivalentes en la cadena de origen.

El ataque ocurrió en tres fases:

1. Preparación (2 horas antes) – El atacante financió una billetera nueva con 100 ETH vía Tornado Cash (o un mezclador similar) para evitar rastreo. Luego desplegó un contrato malicioso diseñado para explotar la falla de verificación.
2. Explotación (45 minutos) – Usando el contrato malicioso, el hacker envió miles de eventos falsos de depósito al relayer del puente de KelpDAO. El relayer, que procesa automáticamente las pruebas verificadas, aceptó las pruebas fraudulentas debido a una verificación faltante en el parámetro sourceChainId. Esto permitió al atacante acuñar 1.2 millones de rsETH en Arbitrum sin depositar colateral en Ethereum.
3. Extracción (los siguientes 20 minutos) – El atacante intercambió rápidamente el rsETH fraudulento por USDC y ETH en exchanges descentralizados (Uniswap, Balancer) y luego transfirió los fondos a una billetera privada. Para cuando el equipo de KelpDAO pausó el puente, aproximadamente $47 millones en activos habían sido extraídos.

Respuesta inmediata y acciones

Los contribuyentes principales de KelpDAO reconocieron la brecha en 30 minutos tras la primera transacción anormal. Ellos:

· Pausaron todas las actividades del puente en todas las cadenas.
· Publicaron un anuncio de emergencia en su cuenta oficial de X (Twitter) y en Discord.
· Contrataron firmas de análisis forense blockchain (Chainalysis, TRM Labs) para rastrear los fondos robados.
· Ofrecieron un $2 millón en recompensas por errores$380 al atacante a cambio de devolver el 90% de los fondos, como es habitual en estos casos.

El hacker no ha respondido públicamente hasta ahora. Sin embargo, los investigadores en cadena notaron que parte del USDC robado fue enviado a un servicio de intercambio de swap fijo-flotante, probablemente un intento de lavar dinero a través de puentes entre cadenas – una ironía trágica dado el contexto.

Impacto en usuarios y en el ecosistema

Para los poseedores de rsETH y proveedores de liquidez, la consecuencia inmediata fue una fuerte depegging. rsETH se cotizó con un 23% de descuento en mercados secundarios, ya que el miedo se extendió de que los tokens puenteados podrían no estar completamente respaldados. El TVL de KelpDAO cayó de $220 millones a (millones en seis horas, a medida que los usuarios retiraban sus activos directamente del contrato en mainnet )que permaneció seguro(.

Los protocolos de préstamo que habían integrado rsETH como colateral )p.ej., forks de Aave, Compound$65 enfrentaron cascadas de liquidaciones. Al menos dos mercados de préstamo tuvieron que pausar el préstamo de rsETH para evitar pérdidas adicionales. El impacto total en todo el ecosistema se estima en $47 millones incluyendo liquidaciones en cascada y oportunidades de arbitraje perdidas.

Es importante destacar que las posiciones de restaking subyacentes en EigenLayer no fueron comprometidas. El hack solo afectó la representación sintética de rsETH en L2s. Sin embargo, restaurar la confianza requerirá que KelpDAO recapitalize el puente o demuestre que todo rsETH en circulación está completamente colateralizado – una tarea difícil dada la brecha de #KelpDAOBridgeHacked millones.

Lecciones para protocolos y usuarios de DeFi

El (incidente subraya varias verdades duras:

1. Los puentes siguen siendo el eslabón más débil – A pesar de años de auditorías y mejoras, la infraestructura entre cadenas es inherentemente arriesgada. Cada cadena adicional y relayer amplía la superficie de ataque.
2. La verificación del cliente ligero no es trivial – La causa raíz aquí fue la falta de una verificación de ID de cadena en un validador de prueba de merkle. Tales descuidos persisten incluso en bases de código auditadas. Múltiples auditorías independientes y la verificación formal deberían ser obligatorias para cualquier puente.
3. Los planes de respuesta de emergencia son vitales – La rápida pausa de KelpDAO salvó millones, pero carecían de un mecanismo de seguridad como un disyuntor que detenga automáticamente la acuñación anómala. La monitorización en cadena con disparadores automáticos podría haber detenido el ataque tras las primeras transacciones.
4. Los usuarios deben diversificar – Mantener grandes cantidades de activos puenteados en cualquier L2 es arriesgado. Siempre que sea posible, usar puentes canónicos )p.ej., el puente nativo de Arbitrum( o mantener fondos en la mainnet. Si usas puentes de terceros, limita la exposición y retira con frecuencia.

¿Qué sigue?

KelpDAO ha anunciado un plan de recuperación que incluye:

· Una instantánea de todos los poseedores de rsETH puenteados antes del hackeo.
· Un token de remediación )rsETH-recover( que será distribuido por airdrop a los usuarios afectados.
· Una votación en la tesorería para decidir si socializar la pérdida entre todos los stakeholders de KelpDAO o buscar financiamiento externo )como una inversión de riesgo#KelpDAOBridgeHacked .

El protocolo también se ha comprometido a publicar un análisis completo y contratar una firma especializada en seguridad de puentes para reconstruir el puente desde cero usando una arquitectura basada en ZK-rollup.

En cuanto al hacker, las agencias de aplicación de la ley han sido notificadas. Sin embargo, dado el carácter pseudónimo de DeFi, la recuperación es poco probable a menos que el atacante devuelva voluntariamente los fondos – una ocurrencia rara.

Pensamientos finales

El #KelpDAOBridgeHacked evento es un recordatorio sobrio de que el futuro multichain de DeFi aún está en desarrollo. Aunque el producto principal de restaking de KelpDAO sigue siendo sólido, la falla del puente ha causado daños reales a los usuarios que confiaron en la infraestructura entre cadenas del protocolo. Como industria, necesitamos mejores estándares, pruebas más rigurosas y, quizás lo más importante, humildad sobre los límites de la seguridad actual de los contratos inteligentes.

Si eres usuario de KelpDAO, monitorea sus canales oficiales para actualizaciones sobre el plan de recuperación. Evita interactuar con cuentas de “soporte” no verificadas que afirman ofrecer reembolsos – los estafadores suelen aparecer tras incidentes como este. Mantente seguro y verifica siempre las direcciones de contrato de forma independiente.

Aviso legal: Esta publicación es solo con fines informativos y no constituye asesoramiento financiero. Siempre investiga por tu cuenta antes de interactuar con cualquier protocolo de DeFi.